Trittbrettfahrer-Mails von der „DSGVO-Beschwerdestelle“: Löschen und Vergessen (oder Meditieren)

Mich erreichen seit dem 13.6.2018 Anfragen besorgter Mandanten, die eine E-Mail von einer „DSGVO Beschwerdestelle“ erhalten haben. Darin wird ein (nicht näher konkretisierter) Verstoß gegen die Datenschutzgrundverordnung (DSGVO) behauptet, von dem man sich durch irgendeine Erstberatung im Rahmen der „DSGVO Meditation“ (sic!) reinwaschen können soll. Es handelt sich dabei um ziemlich offensichtlichen Spam eines Trittbrettfahrers (ähnlich dem Muster bei gefakten Filesharing-Abmahnungen). Die schlechte Nachricht dazu: Dagegen kann Ihnen Ihr Anwalt leider nicht wirksam helfen. Die gute: Mehr als das Löschen der E-Mail ist wohl nicht notwendig.

Mehr erfahren

Die DSGVO und die Abmahnungen – Was wir wissen und was nicht

Seit 25. Mai gilt die Datenschutz-Grundverordnung (DSGVO). Das hat nun jeder mitbekommen, nicht nur weil sie jeden betrifft, sondern auch weil von interessierter Seite auch ordentlich die Werbetrommel gerührt wurde und wird: Ab 25. Mai hagelt es horrende Bußgelder und Abmahnungen! Wer jetzt nicht handelt, ist verloren! Und ja: Das Klappern gehört zum Handwerk. Auch bei Juristen. Auf diese Aussage kann man sich wohl einigen. Alles was darüber hinausgeht, sind Stilfragen, über die man streiten kann. Das möchte ich hier und heute aber gar nicht. Es geht mir um die Frage an sich:

Droht nun die DSGVO-Abmahnwelle? Oder ist das alles Quatsch?

Mehr erfahren

EuGH entscheidet (vorab) in Sachen ULD ./. WAK SH („Facebook Fanpages“, EuGH Rechtssache C‑210/16)

Ein bisschen roch es schon danach, nachdem der Generalanwalt beim EuGH, Yves Bot, in Sachen ULD ./. WAK Schleswig-Holstein sein Schlussgutachten vorgelegt hatte. Nun ist es amtlich: Das unabhängige Landeszentrum für den Datenschutz in Schleswig Holstein (ULD) erlangt (zumindest) in einem Teilaspekt einen Etappensieg in dem Rechtsstreit über die Rechtmäßigkeit von Facebook-Fanpages, der bereits seit 2011 andauert und bei dem es um Datenschutzverstöße durch die Facebook-Reichweitenanalyse „Insights“ geht. Der EuGH hat am 5.6.18 über verschiedene Vorlagefragen entschieden, auf die es in dem derzeit beim Bundesverwaltungsgericht anhängigen Verfahren ankommt. Allerdings dürften die Sektkorken beim ULD wohl nicht allzu laut knallen.

Die wohl wichtigste Frage, nämlich die danach, inwieweit neben Facebook auch der Betreiber einer Fanpage selbst verantworlich ist für die Datenverarbeitung, die auf Seiten von Facebook durchgeführt wird, bejaht das Gericht:

Nach alledem ist auf die erste und die zweite Frage zu antworten, dass Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen ist, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

Allerdings: Der EuGH bejaht ebenfalls die Frage, ob die Datenschutzbehörde – hier: Das ULD – gegen Facebook Germany als Inländische Niederlassung vorgehen konnte, wenn Datenschutzverstöße der Konzernmutter festgestellt wurden. Hieran konnte man zweifeln, da am Hamburger Sitz von Facebook Germany (angeblich) nur der Verkauf von Werbeflächen uns sonstige Marketingaktivitäten entfaltet wurden. Der EuGH stellt hier fest: Das ULD konnte sehr wohl auch gegen diese Niederlassung vorgehen.

Das klingt erst einmal gut, muss allerdings gerade keine gute Nachricht für das ULD sein. Denn das Bundesverwaltungsgericht hatte schon in dem Vorabentscheidungsersuchen darauf hingewiesen, dass:

In dem Fall, dass im Licht dieser Antwort festgestellt werden sollte, dass das ULD die behaupteten Verstöße gegen das Recht auf Schutz der personenbezogenen Daten beenden könne, indem es eine Maßnahme gegen Facebook Germany erlasse, dieser Umstand das Vorliegen eines Ermessensfehlers bezüglich des angefochtenen Bescheids belegen könnte, da dieser dann zu Unrecht gegen die Wirtschaftsakademie erlassen worden wäre.

Mit anderen Worten: Das Bundesverwaltungsgericht könnte sich nun auf den Standpunkt stellen, dass das ULD gegen Facebook selbst vorgehen konnte. Und wenn es dies konnte, dann musste es dies eventuell auch. Und damit könnte das Vorgehen des ULD dann doch wieder rechtswidrig gewesen sein.

Wie geht es jetzt weiter?

Der EuGH hat den Rechtsstreit heute nicht entschieden – sondern nur einzelne Fragen, die das im Moment mit dem eigentlichen Verfahren befasste Gericht, also das Bundesverwaltungsgericht – für maßgeblich hält. Wann dieses nun entscheidet, und noch viel wichtiger: Wie es entscheiden wird, ist heute meiner Ansicht nach nicht viel klarer geworden.

Welche Folgen hat das Urteil sonst noch?

Wie die meisten mitbekommen haben, weil es vom „Anwaltsblatt“ bis zur Tagesschau alle wichtigen Medien verbreitet haben, gilt seit 25. Mai die Datenschutz-Grundverordnung (DSGVO). So könnte man also auf die Idee kommen, dass die Entscheidung, die auf der Grundlage des alten Rechts – nämlich der Datenschutzrichtlinie 95/46 EU – ergangen ist, nur noch rechtsgeschichtlichen Wert hat. Dies ist aber nicht der Fall, denn hinsichtlich der Verantwortlichkeit ergeben sich gerade keine Änderungen zwischen altem und neuen Recht. Und das bedeutet wohl, dass jeder Nutzer jedenfalls von beruflich genutzten Social Media Profilen zukünftig für die Datenverarbeitung(sverstöße) des jeweiligen Anbieters (mit)verantwortlich ist. Oder, um es mit den Worten des hochgeschätzten Kollegen Thomas Schwenke zu sagen

(Kleine Einschränkung hierzu: Für private Accounts gilt dies aber jedenfalls „möglicherweise“ nicht, da die Anwendung der DSGVO in Bezug auf den Profilinhaber insoweit jedenfalls fraglich ist, so steht das in Art. 2 Abs. 2c DSGVO in Verbindung mit Erwägungsgrund 18).

Verweise: